Выход Великобритании из ЕС и GDPR: руководство в 6 шагах

В виду предстоящего выхода Великобритании из состава ЕС, который состоится 29 марта 2019 года, компания Law and Trust International создала для наших клиентов пошаговую инструкцию из шести действий, которую вы можете использовать прямо сейчас, чтобы начать подготовку к соблюдению требований по защите данных.

Данная информация особенно касается тех лиц, которые являются резидентами, представителями или посредниками организаций из Соединенного Королевства, ЕС, ЕЭЗ (Европейская Экономическая Зона) или вне юрисдикции европейской зоны, ведут деятельность или предлагают услуги и собирют персональные данные в вышеуказанных юрисдикциях. Указанный перечень действий позволит корректно оценивать дальнейшие шаги в каждом отдельном случае, а также поможет избежать проблем с изменением порядка и правил передачи информации.

Выход Великобритании из ЕС: Как подготовится к изменениям в правилах oбpaбoтки пepcoнaльныx дaнныx GDPR

Если вы работаете только в юрисдикции Великобритании, от Вас не потребуется чрезмерных усилий, чтобы подготовиться к защите данных после выхода Великобритании из состава ЕС. Великобритания поддерживает высокие стандарты защиты данных, которые установлены Общим регламентом ЕС о защите данных (GDPR). Правительство королевства планирует инкорпорировать нормы GDPR в законодательство Великобритании после брекзита (Brexit). Таким образом, лучшее, что вы можете сделать, готовясь к новому британскому режиму – убедиться, что вы уже сейчас должным образом соблюдаете GDPR.

Однако от вас потребуется обеспечение надлежащих гарантий для контроля над потоком данных из Европейской экономической зоны (ЕЭЗ), которая включает в себя ЕС. Если вы работаете в ЕЭЗ, вам может потребоваться соблюдение как режима защиты данных, установленного в Великобритании, так и подобный режим в ЕС. Возможно, возникнет необходимость назначить своего представителя в ЕЭЗ. Ниже приведена дополнительная информация помогающая определить, относится ли это к вам и к вашей деятельности.

Вы можете использовать этот перечень, чтобы выяснить, повлияет ли на вас выход из ЕС, и какие ключевые шаги стоит предпринять для подготовки к Brexit. До выхода из ЕС регулятор Великобритании продолжит работать с органами ЕС по защите данных в Европейском совете по защите данных (EDPB) по руководящим принципам GDPR. Однако, после выхода из состава ЕС, ICO намерен регулировать только тот режим действий, который будет актуален для Великобритании. Мы будем поддерживать тесные связи и сотрудничество с европейскими надзорными органами (которые будут осуществлять надзор в случае применения режима ЕС).

ICO тесно сотрудничает с торгово-промышленными организациями и органами, представляющими различные секторы. Вам также следует тесно сотрудничать с этими органами, чтобы понимать, что происходит в вашем секторе.

Мы просим внимательно ознакомиться с пошаговыми рекомендациями, которые указаны ниже. Это поможет вам правильно и последовательно совершить необходимые действия, чтобы продолжить активную работу как по правилам ЕС (или ЕЭЗ), так и по правилам Великобритании.

1. Продолжайте соблюдать требования

Продолжайте применять стандарты GDPR и следовать действующим рекомендациям ICO. Если у вас есть сотрудники по защите данных (DPO), они могут продолжать выполнять свою роль как в Великобритании, так и в Европе.

Закон о защите данных 2018 года останется в силе. Правительство намерено внедрить GDPR в британское законодательство при выходе из ЕС, чтобы не отставать от текущих стандартов. В британскую версию GDPR будут внесены некоторые технические изменения, чтобы она функционировала только в контексте Великобритании – например, внесение поправок в положения, касающихся законодательства ЕС и сотрудничества правоохранительных органов.

Большинство требований GDPR останутся прежними. Это означает, что первый и самый важный шаг – это обеспечить соблюдение принципов, прав и обязанностей по GDPR.

Если у вас есть сотрудники по защите данных (DPO), они смогут продолжать выполнять эту роль. Сотрудники могут совмещать свои будущие обязанности в Великобритании с любыми текущими обязанностями в ЕС, если они компетентны как в законодательстве Великобритании о защите данных, так и в режиме ЕС, и находятся в «легкодоступном» местоположении, как для Великобритании, так и для ЕС.

2. Передача данных в Великобританию

Проанализируйте Ваши потоки данных и определите, откуда из ЕЭЗ вы получаете данные в Великобританию. Подумайте о том, какие меры предосторожности, предписанные GDPR, вы можете применить, чтобы гарантировать последующее бесперебойное поступление данных после выхода Соединенного Королевства из ЕС.

Если вы получаете данные от организаций в ЕЭЗ, отправителю необходимо будет соблюдать положения о передаче данных вне ЕС. Это означает, что отправитель должен удостовериться в принятии надлежащих мер предосторожности, либо же такая передача будет попадать в одно из исключений, перечисленных в GDPR. Если ЕС примет официальное решение о том, что режим Великобритании предлагает надлежащий уровень защиты, тогда необходимости в особых гарантиях не возникнет.

Однако, если Королевство покинет состав ЕС после 29 марта 2019 года без соглашения с Евросоюзом, такого исключения не будет. Таким образом, вы должны запланировать реализацию надлежащих мер безопасности.

Вы можете рассмотреть вопрос о введении стандартных договорных условий (SCCs), если вы получаете данные из ЕЭЗ.

Если вы являетесь международной компанией с действующими обязательными корпоративными правилами (BCRs), которые охватывают компании ЕЭЗ и британскии компании, BCR, скорее всего, разрешат перевод данных и прав из ЕЭЗ в Великобританию, чтобы показать новый статус Великобритании как третьей страны в соответствии с изменениями. Эти действия обязательно будут коррелироваться и подтверждаться со стороны Европейского совета по защите данных.

3. Передача данных из Великобритании

Проанализируйте Ваши потоки данных и определите, куда вы передаете данные из Великобритании в ЕЭЗ или в страны за пределами ЕЭЗ, чтобы вы могли создать новую правовую основу для таких передач в соответствии с британскими правилами передачи данных.

3.1. Передача данных из Великобритании в ЕС

Правительство Великобритании заявило, что при выходе Великобритании из ЕС передача данных в ЕЭЗ из Великобритании не будут ограничена.

Это означает, что вы сможете продолжать отправлять персональные данные из Великобритании в ЕЭЗ без каких-либо дополнительных требований.

3.2. Передача данных из Великобритании в страны за пределами ЕЭЗ

Правила передачи данных в страны за пределами ЕЭЗ, вероятно, останутся неизменными. На этом этапе вам не нужно предпринимать никаких конкретных шагов. Правительство Великобритании подтвердило, что будут приняты переходные положения для признания существующих решений ЕС о достаточности мер, утвержденных стандартними договорными условиями ЕС (SSCs) и обязательными корпоративными правилами (BCRs).

4. Деятельность в Европе

Если вы работаете по всей Европе, вам следует пересмотреть свою структуру, процесс обработки данных и потоки данных, чтобы оценить, как выход Великобритании из ЕС повлияет на режимы защиты данных, которые применимы к вам.

4.1.Режимы защиты данных

Если у вас британская организация, нужно будет соблюдать британский режим защиты данных после выхода, и ICO будет регулировать этот режим. Если у вас также есть офисы, филиалы или другие учреждения в ЕЭЗ, режим в ЕС будет по-прежнему применяться к вашей европейской деятельности даже после того, как Великобритания покинет ЕС. ICO больше не будет регулировать режим активности в ЕС.

Если вы осуществляете деятельность ТОЛЬКО в Великобритании, но предлагаете товары или услуги лицам в ЕЭЗ или вы контролируете действия определенных лиц, находящихся в ЕЭЗ, то режим ЕС также будет применяться к вашей обработке персональных данных в связи с этой деятельностью. Возможно, вам придется сотрудничать с ICO и с европейскими надзорными органами в каждом государстве ЕЭЗ и ЕС, в которых эти действия касаются тех или иных лиц.

4.2.Главный надзорный орган и принцип «единого окна»

Если в настоящее время Вашим главным надзорным органом является орган Великобритании, вы должны пересмотреть структуру своей европейской деятельности, чтобы оценить, сможете ли вы быть по-прежнему под контролем этого органа и пользоваться преимуществами принципа «единого окна». Этот принцип означает, что вы, как правило, имеете дело с одним европейским надзорным органом, действующим от имени других европейских надзорных органов. Это избавляет вас от необходимости сталкиваться с регуляторными и правоприменительными действиями со стороны каждого надзорного органа в каждом государстве EEA и ЕС, в которых эти действия касаются тех или иных лиц.

После выхода Великобритании из ЕС, если у вас больше нет главного надзорного органа, и вы не можете пользоваться услугами по принципу «единого окна», такая ситуация может существенно повлиять на ваш бизнес и ресурсы, необходимые для обработки запросов из различных европейских органов по защите данных.

Специалисты компании Law&Trust International помогут вам в определении вашего главного надзорного органа.

4.3. Назначение европейского представителя

Если вы находитесь в Великобритании, а не в каком-либо другом государстве ЕС или ЕЭЗ, но вы предлагаете товары или услуги лицам в ЕЭЗ, или вы контролируете действия определенных лиц, находящихся в ЕЭЗ, то для соблюдения режима ЕС вам нужно будет назначить соответствующего представителя в ЕЭЗ.

Этот человек будет выступать в качестве вашего местного представителя в отношениях с частными лицами и органами защиты данных в ЕЭЗ. Эта должность существует отдельно от должности сотрудника по защите данных (DPO), и ваш представитель не может быть одновременно вашим DPO или одним из ваших обработчиков данных. Вам не нужно назначать представителя, если вы являетесь государственным органом, или если ваша обработка данных носит нерегулярный характер с низким уровнем риска и не включает в себя обработку специальных категорий данных или данных об уголовных преступлениях в большом объеме.

Специалисты нашей компанды подскажут Вам, когда требуется назначение представителя и помогут назначить это лицо.

5. Документация

Проанализируйте Ваш порядок использования персональных данных и внутреннюю документацию, чтобы выявить положения, которые подлежат обновлению после выхода Великобритании из ЕС.

Маловероятно, что требования уведомлений о порядке использования персональных данных и ведения документации изменятся. Но вам необходимо определить любые отсылки к законодательству ЕС или к какой-либо терминологии ЕС и быть готовыми внести изменения, чтобы к дате выхода уже отразить терминологию Великобритании. Вам также необходимо проверить, что в Вашем случае говорится о международной передаче данных и отразить любые изменения, особенно в отношении передачи данных между Великобританией и ЕЭЗ.

Возможно, вам также понадобиться пересмотреть существующие оценки рисков воздействия на защиту данных, если они связаны с передачей данных между Великобританией и ЕЭЗ.

6. Осведомленность об изменениях в организации

Убедитесь, что люди, занимающие ключевые должности в вашей организации, знают об основных проблемах. Руководствуйтесь этими шагами при составлении планов в связи с выходом из ЕС и оставайтесь в курсе самой последней информации и рекомендаций.

Ключевые сотрудники вашей организации должны знать о важности соблюдения GDPR в настоящее время, а также о конкретных последствиях для любой деятельности на территории Европы и потоков данных. Если вы ведете важную деятельность или имеете определенные деловые отношения в Европе, вы можете спланировать наперед свою непосредственную активность. Вам будет труднее обеспечить какую-либо преемственность, если вы будете тянуть до последней минуты. Также полезным будет проверить реестр рисков вашей организации, если он у вас есть.

В виду сложности ситуаций с соблюдением законодательства о защите персональных данных, приведением документации в соответствие GDPR, составлением документации и регистрацией в регулирующих органах, или же подбором DPO компания Law and Trust International предоставляет возможность ускорить процесс выполнения данной работы.

Наши специалисты предоставят экспертную оценку для вашей компании в кратчайшие сроки, по результатам которой каждый получит персональную консультацию по интересущим вопросам изменения правил защиты данных по стандартам GDPR. Таким образом, вы сможете не только сэкономить свое время, но и получить необоходимый результат в сжатые и подходящие сроки для вашей деятельности.